Как заблокировать доступ с использованием определенного токена?

Question

BlazeBanshee

веб-разработка

Как заблокировать доступ с использованием определенного токена?

Как найти способ предотвратить использование авторизационного токена на других устройствах, чтобы предотвратить несанкционированный доступ к аккаунту? Я рассматриваю возможность хранения токена в куках и хотел бы узнать, какие дополнительные данные можно использовать для проверки при попытке входа и защиты от таких атак.

25 июля 2024 г. 12:03

Ответы на вопрос 2

Похожие вопросы

Answer 1

Для блокировки доступа с использованием определенного токена можно реализовать механизм инвалидации токена. Это можно сделать путем хранения списка действительных токенов в базе данных или в кэше и проверки каждого запроса на соответствие списку действительных токенов. Если токен не найден в списке, то доступ может быть заблокирован.

Для предотвращения использования авторизационного токена на других устройствах можно использовать дополнительные меры безопасности, такие как механизмы проверки IP-адреса или устройства, двухфакторную аутентификацию, дополнительные проверки при входе (например, ввод дополнительного пароля или ответ на секретный вопрос) и др. Также можно использовать механизмы отслеживания активности пользователей и оповещения об подозрительной активности (например, отправка уведомлений на электронную почту или SMS при входе с нового устройства).

Хранение токена в куки может быть уязвимо для атак, таких как CSRF (межсайтовая подделка запросов) или XSS (межсайтовый скриптинг). Для предотвращения таких атак рекомендуется использовать механизмы защиты, такие как обязательная передача токена по HTTPS, использование токена с ограниченным сроком действия, подпись токена и др.

Таким образом, для достижения максимальной безопасности рекомендуется комбинировать различные методы защиты, чтобы предотвратить несанкционированный доступ к аккаунту.

Answer 2

в куках храню токен и вот задался я таким вопросом, а как запретить использовать этот токен на других устройствах? То есть, что я имею ввиду. Вот есть скажем 2 пк, на одном Вы авторизовались, открыли cookies, скопировали токен и на другом пк его вставили и таким образом вы зашли в аккаунт без авторизации.
 В чем проблема? Так работает вся система куки-зависимых данных (например сессии). Так как куки является приватной информацией в рамках сессии, данные в ней так же считаются приватными и по умолчанию недоступными третьим лицам. По этому все страдания на тему "ой, можно же что-то вытащить и вставить это не безопасно" и прочие страдания юных специалистов по безопасности можно смело взять и выкинуть в психологическую мусорку. 
 
 Если у человека появилась возможность вытащить ваши куки из сессии, проще тут же на месте сменить пароль на свой или вообще сделать с аккаунтом что угодно, не заморачиваясь с поиском кук и прочей фигней. Это вопрос доступа к устройству, а не к данным.